© development dimensions int’l, inc.,tongro. all rights reserved. sniffing 시스템 보안 전...
Post on 19-Dec-2015
225 views
TRANSCRIPT
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
SniffingSniffing
시스템 보안
전 산 19931046 박현수
전 산 19931059 박희철
인터넷 20229718 김유진
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑이란스니핑이란 ?? 스니핑이란스니핑이란 ??
네트워크 상에서 자 신이 아닌 다른
상대방들의 패킷 교환을 엿듣는 것
네트워크 트래픽을 도청하는 과정
스니핑을 할 수 있는 도구를 스니퍼라 한다
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑 등장배경스니핑 등장배경 스니핑 등장배경스니핑 등장배경
학술적 용도로 개발된 TCP/IP 프로토콜의 취약성
( 암호화 , 인증 ) 으로 인해 데이터 통신의 기본
요소 중 기밀성 , 무결성 등을 보장할 수 없음
특히 스니핑은 보안의 기본요소 중 기밀성을
해치는 공격방법
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 대표적 시나리오스니핑의 대표적 시나리오 스니핑의 대표적 시나리오스니핑의 대표적 시나리오
실제 공격 대상 시스템에 관리자 권한을 얻어낸 후
스니핑 도구를 설치
공격대상 기업의 다른 호스트에 대한 접근 권한을
얻어내서 그 호스트를 이용
ISP 장비에 대한 시스템 권한을 얻어내어 스니핑
도구를 설치
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 실제 공격의 예 - - 허브환경허브환경 실제 공격의 예 실제 공격의 예 - - 허브환경허브환경
허브 ( HUB) 는 기본적으로 들어온 패킷에 대해 패킷이 들어온 포트를 제외한 모든 포트에 대해 패킷을 보내는 리피터 장비
모든 패킷은 실제 수신 대상이 아닌 호스트에게도 전달
Promiscuous 모드에서 패킷확인 가능
그림 1] 허브 환경에서의 패킷 송신
[ 그림 2] 스위칭 환경에서의 패킷 송신
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – Swich JammingSwich Jamming 실제 공격의 예 – 실제 공격의 예 – Swich JammingSwich Jamming
엉뚱한 MAC 주소를 가진 패킷을 계속하여 보냄으로써 스위치가 허브처럼 동작하도록 만듬
많은 종류의 스위치가 주소 테이블이 가득 차게 되었을 때 패킷을 모든 포트로 브로드캐스팅하는 성질을 이용
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – ARP Redirect(1)ARP Redirect(1) 실제 공격의 예 – 실제 공격의 예 – ARP Redirect(1)ARP Redirect(1)
패킷이 보내질 때 목적지의 IP 주소를 갖고 해당 목적지가 어떤 MAC 주소를 사용하는지 요청
이를 ARP Request 라 한다
[ 그림 1] ARP request 과정
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – ARP Redirect(2)ARP Redirect(2) 실제 공격의 예 – 실제 공격의 예 – ARP Redirect(2)ARP Redirect(2)
네트워크 상에 브로드캐스팅되어 모든 호스트가 그 패킷을 받게 되고 해당 IP 를 가진 호스트는 ARP reply 를 주게 된다
[ 그림 2] ARP reply 과정
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – ARP Redirect(3)ARP Redirect(3) 실제 공격의 예 – 실제 공격의 예 – ARP Redirect(3)ARP Redirect(3)
이때 공격자가 가짜 reply 를 보내게 된다 패킷이 도달한 순서에 따라 그리고 구현에 따라
어느 것의 응답을 믿게될 지가 결정
[ 그림 3] 조작된 ARP reply 과정
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – ICMP RedirectICMP Redirect 실제 공격의 예 – 실제 공격의 예 – ICMP RedirectICMP Redirect
ARP Redirect 의 경우와 마찬가지로 공격대상 시스템으로 패킷이 오도록 만드는 것
네트워크 상에 라우터가 여러대 존재할 때 비효율적인 라우팅 경로가 존재할 경우 라우터에 대해 이를 수정할 것을 권고하는 ICMP Redirect 메시지가 보내짐
공격자는 이를 악용한 ICMP Redirect 메시지를 보냄으로 패킷이 자신에게 오도록 함
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – ICMP Router AdvertisementICMP Router Advertisement 실제 공격의 예 – 실제 공격의 예 – ICMP Router AdvertisementICMP Router Advertisement
특정 호스트가 자신이 라우터라고 다른 호스트들에게 알림
다른 호스트들이 자신을 라우터로 생각하게 하여 패킷이 자신으로 보내지도록 함
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
실제 공격의 예 – 실제 공격의 예 – MAC MAC 스푸핑스푸핑 실제 공격의 예 – 실제 공격의 예 – MAC MAC 스푸핑스푸핑
공격자가 공격대상 시스템의 MAC 주소를 가지는 패킷을 출발지 MAC 주소로 하는 패킷을 계속하여 보냄
스위치의 MAC 주소테이블에는 그러한 내용이 등록
스위치는 패킷을 공격자에게 전송
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑 도구들 – 스니핑 도구들 – WindowsWindows 기반기반 스니핑 도구들 – 스니핑 도구들 – WindowsWindows 기반기반
OS 이름 설명
Windows 기반
Ethereal UNIX 용 Ethereal 을 Windows 로 포팅한 것으로 오픈 소스
Windump Tcpdump 를 Windows 용으로 포팅한 것 .
NAI Sniffer 스니핑 뿐 아니라 , 다양한 통계 기능 등 제공 ( 상용 )
EtherPeek 스니핑 뿐 아니라 , 다양한 통계 기능 등 제공 ( 상용 )
AiroPeek EtherPeek 를 제조한 WildPackets 사의 제품으로 무선 네트워크 상의 스니핑 도구 ( 상용 )
Cain&Abel스니핑 기능 외에도 패스워드 크래킹 등 다양한 기능이 포함된 통합 툴 . 스위칭 환경에서의 스니핑 및 각종 프로토콜에 대한 디코드 기능을 가지고 있음 .( 상용 )
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑 도구들 – 스니핑 도구들 – UNIX UNIX 기반기반 스니핑 도구들 – 스니핑 도구들 – UNIX UNIX 기반기반OS 이름 설명
UNIX 기반
tcpdump Command-line 툴로 해킹보다는 트러블슈팅의 용도로 가장 많이 사용되는 툴
EtherealGUI 기반으로 UNIX 용 GUI 스니핑 도구로서 매우 훌륭한 기능을 가지고 있음
snoop Sun Solaris 시스템 등에서 기본적으로 제공하는 스니핑 도구
Sniffit 연결된 세션 내용 정보 등을 쉽게 볼 수 있음
AiroPeek EtherPeek 를 제조한 WildPackets 사의 제품으로 무선 네트워크 상의 스니핑 도구 ( 상용 )
dsniff
송덕준 (Dug Song) 이 개발한 스위칭 환경에서의 해킹 도구 . 스니핑 툴만 포함된 것이 아니라 SSH 나 SSL에 대한 Man-in-the-Middle-Attack 툴이 포함되어 있음 . 각종 프로토콜에 대한 사용자 ID, 암호 정보를 쉽게 수집해 줌 .
LinSniff 각종 프로토콜에 대한 사용자 ID, 암호 정보를 쉽게 수집합니다만 dsniff보다는 적은 프로토콜을 지원합니다 . 하지만 좀 더 가볍습니다 .
esniff Phrack Magazine 에 소개된 툴
ettercap 스위칭 환경에서의 스니핑 툴
snmpsniff SNMP 전용 스니핑 툴
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑에 취약한 프로토콜스니핑에 취약한 프로토콜 스니핑에 취약한 프로토콜스니핑에 취약한 프로토콜
Telnet, Rlogin HTTP SNMP NNTP, POP, FTP, IMAP, SMTP 등
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 방어스니핑의 방어 스니핑의 방어스니핑의 방어
스위치에 브로드캐스트 도메인 , MAC 주소 수동 설정 등을 통해 패킷을 가로채는 시도를 줄일수 있다
하지만 원천봉쇄는 불가능 암호화 기법을 이용하는 것이 가장 일반적이고 중요
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 방어 – 스니핑의 방어 – SSL SSL 적용적용 스니핑의 방어 – 스니핑의 방어 – SSL SSL 적용적용
SSL을 통해 보안에 취약한 HTTP, IMAP, POP, SMTP, Telnet 을 적용
HTTPS, IMAPS, POPS, SMTPS, Telnets HTTP 에 가장 많이 활용되며 이를 적용하여 사용자
이름 , 패스워드 및 전자 상거래 결재정보 등 웹서핑의 내용을 암호화 할 수 있다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 방어 – 스니핑의 방어 – PGP, S/MIMEPGP, S/MIME 스니핑의 방어 – 스니핑의 방어 – PGP, S/MIMEPGP, S/MIME
메일에 대한 암호화
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 방어 – 스니핑의 방어 – SSHSSH 스니핑의 방어 – 스니핑의 방어 – SSHSSH
암호화 통신을 제공하여 Telnet, FTP, RCP, Rlogin 등을 대치
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
스니핑의 방어 – 사설망 혹은 스니핑의 방어 – 사설망 혹은 가상사설망가상사설망
스니핑의 방어 – 사설망 혹은 스니핑의 방어 – 사설망 혹은 가상사설망가상사설망
전용선으로 직접 연결함으로 중간에 도청되는 것을 막는 사설망
거리가 멀어질수록 인터넷 비용이 비싸짐 인터넷 회선을 이용해 사설망의 효과를 줄수 있는
것이 가상사설망 (VPN) VPN 장비 간의 암호화를 통해 도청을 막을 수 있다
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
Monitor Applications – Dashboard-1Monitor Applications – Dashboard-1 Monitor Applications – Dashboard-1Monitor Applications – Dashboard-1
네트워크 사용량 (utilization), 초당 패킷 전송률 (packet rate), 초당 에러율 (error rate) 을 실시간으로 볼 수 있음 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications – Dashboard-2Monitor Applications – Dashboard-2
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications – Host TableMonitor Applications – Host Table
호스트 테이블은 각 네트워크 노드의 트래픽 통계 자료를 실시간으로 수집함 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications – Matrix 1Monitor Applications – Matrix 1
매트릭스는 네트워크 노드간의 대화에 대한 통계 자료를 실시간으로 수집한다 .
매트릭스 데이터는 트래픽 맵 (traffic map), 테이블 , 막대 혹은 파이 차트 (pie chart) 형태로 볼 수 있다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications – Matrix 2Monitor Applications – Matrix 2
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications - ART(Application ReMonitor Applications - ART(Application Response Time)sponse Time)
ART 모니터 어플리케이션은 잘 알려진 TCP/UDP 포트로 연결된 서버와 클라이언트들 사이의 어플리케이션에 대한 응답시간을 실시간으로 측정하고 리포트 한다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications - Monitor Applications - 히스토리 샘플히스토리 샘플 (Hi(History Samples)story Samples)
네트워크 성능에 대한 기초 자료를 작성하기 위하여 일정 시간 동안에 다양한 네트워크 통계 자료를 수집하는 히스토리 샘플을 사용할 수 있다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications - Monitor Applications - 프로토콜 분포프로토콜 분포 (Pr(Protocol Distribution) otocol Distribution)
프로토콜 분포는 네트워크의 전송 그리고 어플리케이션 계층 프로토콜에 기반을 둔 네트워크 사용 현황을 알아보기 위하여 사용할 수 있다 . 예를 들어 , IPX/SPX, TCP/IP, NetBIOS, AppleTalk, DECnet, SNA, Banyan, 그리고 많은 다른 프로토콜들을 모니터 할 수 있다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
Monitor Applications - Monitor Applications - 글로벌 통계 자료 글로벌 통계 자료 (Global Statistics) (Global Statistics)
Global Statistics 은 네트워크의 전체 활동 수준과 정확한 크고 작은 패킷들의 트래픽 부하 , 그리고 전체 네트워크 성능과 유용성에 대한 각 패킷들의 서로 다른 효과를 이해하는데 도움이 된다 .
© Development Dimensions Int’l, Inc.,Tongro. All rights reserved.
시스템보안
참고자료참고자료 참고자료참고자료 ㈜코코넛 시큐레터 10월호 http://www.securityfocus.com/infocus/1180 http://www.helloec.net/network/sniffer.htm http://kin.naver.com/open100/entry.php?eid=Lza
UyIfKGWPx8Hey2Q0jOTja+zYQzCA8